Common Vulnerability Scoring System

Common Vulnerability Scoring System (CVSS) je otevřený standard určený pro hodnocení a kvantifikaci závažnosti softwarových zranitelností. CVSS poskytuje numerické skóre, které odráží relativní závažnost bezpečnostních chyb, a pomáhá tak organizacím prioritizovat své úsilí v oblasti kybernetické bezpečnosti. Tento systém umožňuje bezpečnostním týmům a správcům systémů lépe řídit rizika spojená s různými zranitelnostmi. CVSS využívá škálu od 0 do 10, kde vyšší skóre znamená vyšší riziko. Tento systém byl zadán Národním poradním výborem pro infrastrukturu (National Infrastructure Advisory Council, NIAC), a v současnosti ho spravuje organizace FIRST (Forum of Incident Response and Security Teams.)^[1]^[2]^[3]

Historie a vývoj

CVSS byl poprvé zaveden v roce 2005 jako verze CVSS v1.^[4] Tato verze byla záhy nahrazena vylepšenou verzí v2 v roce 2007, která přinesla přesnější hodnocení s cílem zvýšit konzistenci a použitelnost v praxi.^[5] V roce 2015 byla uvedena verze 3.0, která lépe reflektovala dopady moderních typů útoků a zaváděla rozšířenější škálu metrik.^[6] Tato verze byla později nahrazena aktualizovanou verzí CVSS v3.1 v roce 2019, která se zaměřila na zlepšení přehlednosti a interpretace jednotlivých metrik.^[7]

Poslední verzí je verze CVSS v4.0, která přinesla řadu vylepšení včetně úprav skórovací metodiky a větší flexibility pro různé typy zranitelností. Cílem je lépe přizpůsobit hodnocení CVSS rychle se měnícímu bezpečnostnímu prostředí.^[3]

Struktura a výpočty skóre

CVSS skóre se skládá z několika základních metrik, které jsou rozděleny do tří skupin: základní, dočasné a environmentální.

Základní metrika

Základní metrika měří vnitřní charakteristiky zranitelnosti, které jsou stabilní v průběhu času jako je např. složitost útoku, nutnost interakce s uživatelem nebo požadovaná privilegia.

Dočasná metrika

Dočasná metrika reflektuje faktory, které se mění v průběhu času jako jsou např. dostupnost oprav nebo řešení problému.

Environmentální metrika

Environmentální metrika přizpůsobuje základní skóre specifickým podmínkám v rámci konkrétního prostředí, které mohou zvýšit nebo snížit celkové riziko. Těmi jsou např. požadavek na důvěrnot, požadavek na integritu a požadavek dostupnosti.

Každá z těchto metrik je pečlivě definována a umožňuje konzistentní a objektivní výpočty napříč různými systémy a prostředími. Výpočet skóre probíhá pomocí vzorců a příslušných koeficientů, které jsou součástí oficiálních dokumentací ke standardu CVSS.^[1]^[3]

Použití a význam

CVSS je dnes široce využíván v bezpečnostním průmyslu. Pomáhá organizacím rozhodovat o tom, které zranitelnosti je nutné řešit přednostně a jaké prostředky vynaložit na opravu jednotlivých problémů. CVSS skóre se často uvádí u zranitelností publikovaných v rámci CVE (zkratka, z anglického Common Vulnerabilities and Exposures) databáze, kterou spravuje MITRE Corporation. Tato databáze slouží jako globální standard pro označování a popisování zranitelností, což ve spojení s CVSS usnadňuje komunikaci o bezpečnostních hrozbách mezi organizacemi. ^[1]^[8]

Reference

↑ ^a ^b ^c Co je Common Vulnerability Scoring System (CVSS) a jak se používá k hodnocení závažnosti zranitelností?. cs.eitca.org [online]. [cit. 2024-11-7]. Dostupné online.
↑ CVSS v4.0 Frequently Asked Questions. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ ^a ^b ^c CVSS v4.0 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ Introduction to CVSS. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ CVSS v2 History. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ CVSS v3.0 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ CVSS v3.1 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupné online.

[:0-1] Co je Common Vulnerability Scoring System (CVSS) a jak se používá k hodnocení závažnosti zranitelností?. cs.eitca.org [online]. [cit. 2024-11-7]. Dostupné online.

[2] CVSS v4.0 Frequently Asked Questions. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[:1-3] CVSS v4.0 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[4] Introduction to CVSS. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[5] CVSS v2 History. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[6] CVSS v3.0 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[7] CVSS v3.1 Specification Document. FIRST — Forum of Incident Response and Security Teams [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)

[8] CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]